Kategoriat
ylläpitäjän sivunootit

Meilit nykyaikaan (DMARC ja SPF)

Nykyisin sähköpostin siirto on muutakin kuin sisällön dumppaamista paikasta toiseen. Sähköpostia suodetaan monin keinoin haittaliikenteen vähentämiseksi.

Yksinkertaisimmillaan domainin (esimerkiksi takaa.fi) DNS-tietueet sähköpostin sujuvaan siirtämiseen ovat nykyisin seuraavan näköiset:

@ IN MX 10 ilolan.takaa.fi.
@ IN TXT "v=spf1 mx mx:takaa.fi -all"
_dmarc IN TXT "v=DMARC1; p=quarantine; fo=s; rua=mailto:postmaster@takaa.fi; sp=reject"

Nämä säännöt määrittelevät sähköpostipalvelimille tietoja, joiden perusteella sähköpostin sallitaan siirtyä tai se hylätään.
MX-tietue on vanhin kaikista, jo kauan käytössä ollut tietue, joka kertoo ensisijaisesti domainin vastaanottavan sähköpostipalvelimen nimen. Ilman tätä tietuetta olisi jokaisen domainin juuritietueen IP:ssä sähköpostipalvelin.

SPF-tietue on tekstikenttä juuritietueessa ja määrittelee RFC 4408/RCF 7208 mukaisesti säännön siitä, mitkä palvelimet ovat sallittuja lähettäjiä kyseiselle domainille. Esimerkkitapauksessa vastaanottavat palvelimet (MX-tietue tai tietueet) ovat myös sallittuja lähettäjiä. Joissakin tapauksissa sallittujen palvelimien lista kuitenkin eroaa lähetys- ja vastaanottosuuntiin ja säännöt tulee asettaa sen mukaan.

DMARC-tietue on tekstikenttä _dmarc (esimerkkitapauksessa _dmarc.takaa.fi) isäntänimen takana. Se määrittelee domain-tason tunnistusperusteet. Esimerkin tapauksessa se aktivoi raportoinnin ja sallii kaikkien juuritason domain-nimellä lähetettyjen viestien siirron, mutta hylkää alidomainit, joita omissa järjestelmissäni ei käytetä. Vaihtoehtoisia hylkäystapoja on reject (hylkäys tallentamatta) tai quarantine (riippuu palvelusta miten käsittelee, esimerkiksi siirtää spam-kansioon tai muuhun karanteeniin). Domainille ei ole kuitenkaan tässä tapauksessa asetettu muita ehtoja tunnistautumisen suhteen kuin nimipalvelu- ja IP-perusteella tunnettu lähettävä palvelin.

Näillä perustein esimerkiksi Gmail, jossa on DMARC ja SPF -perusteiset suodot käytössä, sallii ilolan.takaa.fi MX-palvelimen lähettää kokeilen@takaa.fi-osoitteella sähköpostia. Sen sijaan vaikkapa kokeilen@onnistuisiko.se.takaa.fi lähetetty viesti hylättäisiin ja MTA saattaisi lähettää vuorokausiraportin, että tällaistakin on yritetty.